Настройки для браузеров (обозревателей)
      Причиной появления этого раздела послужило, то что настройки уровня безопасности по умолчанию, рекомендуемых MS как "Высокий - " и "Средний уровень безопасности" , на самом деле являются крайне опасными, к тому же перегружают пользователя кучей ненужных вопросов. Аналогичная ситуация и с другими браузерами

      Автор не советует считать их единственно верным вариантом, но они сделаны с учётом его наработок в области "безопасности пользователя" и, возможно, помогут Вам. Если сейчас нет времени знакомиться с причинами тех или иных решений, можно сразу перейти к готовым рецептам для Микрософт Интернет Эксплорер , Nescape Communicator или Opera

Предисловие.
      Вообще-то обозреватели предлагают неплохие средства для настройки безопасности, надо только разобраться в них ( или воспользоваться рецептами, приведённым ниже).

      Серьёзным достоинством MS IE, является понятие зон безопасности. Они позволяют Вам настроить уровень безопасности для конкретных задач. Например, для WWW- интерфейса почты, необходимы особые настройки, неудобные в повседневной работе. А некоторые сайты, возможно потребуют от Вас дополнительных возможностей, держать которые открытыми для всех опасно!

Давайте поподробнее коснёмся самых опасных возможностей браузера.
      Наиболее легкоуязвимым местом браузера являются клиентские программы (КП) т.к. они исполняются непосредственно на Вашей машине. Конечно, на их деятельность налагаются строгие ограничения, но иногда их удаётся обойти и возникает "Их высочество Дырка", которую можно использовать для атак первого типа, чтобы , например, украсть файл .pwl хранящий пароли .
      КП можно разделить на три основных вида (по мере возрастания опасности).
      Активные сценарии ( скрипты, Javascript, VBScript и др.) √ очень сильно ограниченные в своих возможностях приложения, предназначенные для повышения качества веб-страниц и улучшения взаимодействия пользователя с сервером. Как правило, самостоятельно эти программы уже не могут нанести серьёзного вреда, разве что прочитать/подменить данные заполненных форм ( впрочем, этого часто достаточно, чтобы украсть Web-почту), или завалить Вас рекламой в открывающихся окошках. Их можно и стоит разрешить, за исключением работы с Web-почтой (подробнее смотрите здесь┘) и посещения особо подозрительных незнакомых сайтов.
      Java -апплеты √ приложения, использующиеся для расширения возможностей браузера по работе с сетью, и интерфейсом пользователя (графикой /музыкой/анимацией) исполняющиеся в специальной среде ("песочнице"), и практически не имеющие возможности обращаться к ресурсам Вашей машины, кроме вычислительных и мультимедийных. При разработке языка Java особое внимание уделялось вопросам безопасности и теоретически ( а также при работе с благонадёжными и грамотно сделанными серверами )он даже повышает безопасность Вашей работы, но в конкретных реализациях "песочницы" нередко (где-то раз в два месяца) находятся ошибки, особенно при взаимодействии с другими компонентами браузера и активными сценариями. Как правило, его лучше держать отключённым, если Вы не уверены, что используете самую последнюю версию браузера и часто посещаете сомнительные сайты. Некоторые сайты требуют держать этот язык включённым и Вам ничего не остаётся как подчиниться, так как иные решения проблемы скорее всего будут ещё более опасными.
      Внимание! Не путайте обычные апплеты с более опасными подписанными (сертифицированными) √ про последние написано ниже ( ActiveX).
      ActiveX (предложенный MS как альтернатива апплетам), plug-in (устаревший аналог, применяемый в NN и Opera), и подписанные приложения √ чрезвычайно опасные решения. Практически √ это обычные полнофункциональные программы, которые по умолчанию могут быть без Вашего ведома быть исполнены на компьютере. Никаких ограничений на их работу не предусмотрено √можно даже диск отформатировать! Так называемый "Сертификат Безопасности" (подпись)√ всего лишь гарантирует подлинность приложения и его автора( чтобы было потом с кого спросить, если последний не озаботиться затереть следы:) ). Что самое страшное, даже написанные с лучшими намерениями программы зачастую содержат ошибки (т.к. их приходится писать как можно компактнее, чтобы быстрее загружались- тут уже не до безопасности), позволяющие использовать их несанкционированным образом. Механизм же отзыва сертификатов очень неэффективен, так ,что злоумышленники зачастую могут спокойно подсунуть Вам старые объекты, даже при наличии исправленных новых.
      Ещё раз подчеркну, что из-за жестких требований к размеру, и отсутствия встроенных решений по безопасности , очень трудно написать безопасный объект. Из первого поколения ActiveX √ ов почти все ( > 90% ) содержали ошибки!!! . В итоге злоумышленник может сочетать атаки типов 1 и 2, при этом ему не надо определять характеристик Вашей системы. (Перевод статьи CERT про опасности технологии AX )
      В общем ActiveX нужно отключать не раздумывая, а с тех сайтов которые его требуют применять √ бежать! Серьёзные службы всегда могут заменить его более надёжным апплетом!
      Plug-in √ лучше оставить только те, что поставляются вместе с браузером и запретить ставить новые.
      Подписанные апплеты( не путать с обычными!), отличаются от ActiveX только меньшей вероятностью случайных ошибок (из-за большей надёжности языка Java), но по-прежнему, никто не гарантирует Вам, что в него не встроил чёрный ход или другую подлость сам производитель. На этом тоже многие попадались. В общем, соглашайтесь на них с большой осторожностью, а по умолчанию отключите!
      Золотое правило √ никогда не гуляйте по инету с несколькими разрешенными видами программ. В результате их взаимодействия почти всегда можно отыскать новую дырку. Помните, что хорошо построенный сервер не должен требовать их одновременного присутствия

Спорные возможности
      Это возможности по которым я могу быть неправ - многие известные специалисты придерживаются другого мнения.
      I. Сервер, который Вы посетили может оставить на Вашей машине некую информацию (cookies- ⌠пирожок" ) ,связанную с визитом и получить её при следующем посещении. В результате эту возможность обвиняют во всех грехах, начиная с потери анонимности и кончая засорением диска.
     IMHO, на самом деле ничего страшного о Вас в них не написано. Как правило, там хранятся только Ваши последние настройки, чтобы облегчить Вам следующее посещение, да точнее идентифицировать пользователя, в случае, если он работает с разных адресов или несколько пользователей работают с одного адреса. Как правило, реальной пользы от них больше чем вреда. Занимаемое место очень незначительно и на него установлены жесткие лимиты.
      Что касается анонимности, то в инете её всё равно нет. :(.
      Сбор информации о предпочтениях пользователях конечно штука неприятная, но если вы пользуетесь правильно настроенной и свежей версией браузера ( в старых версиях были ошибки позволяющие обойти это правило), информация может быть выдана только тому серверу, который её писал. Он-то её и так знает, а сохранить может и другим способом.

II. Стоит ли использовать прокси-сервер для сокрытия своего ip-адреса?
      Прокси-сервера ( сетевые кэши ) изначально предназначены для уменьшения нагрузки на канал с интернетом при одновременном использовании их несколькими пользователями. Их работа основана на сохранении (кэшировании) полученной информации, с тем, чтобы при повторном обращении другого пользователя к ранее полученному ресурсу Сети избежать повторной загрузки. При этом также может ускориться работа (если доступ к кэшу производится существенно быстрее, чем к требуемому серверу), но Вы рискуете получить устаревшую информацию. Этот метод неприменим к быстро обновляемым ресурсам (чатам, новостным лентам, Web-почте). Практически все провайдеры предоставляют и рекомендуют пользователям подобную услугу, т.к. она им выгодна.
      Так как при использовании прокси пользователь не соединяется напрямую с интернет-узлами, то возникла идея, использовать сетевой кэш, чтобы не светить свой адрес. На практике же, большинство прокси-серверов передают адрес пользователя в тексте запроса. Сервера, которые этого не делают называют "анонимными". Проверить своего провайдера на анонимность можно здесь . Но не торопитесь это делать, пока не дочитаете главу. В интернете есть также множество общедоступных анонимных прокси. Свежий их список поддерживается SpyLog'ом. Поэтому, достаточно часто встречается совет побыстрее настроиться на одного из них, но лично мне этот метод кажется малоэффективным по следующим причинам.
      1) От наиболее распространённых атак через Интернет-клиенты прокси всё равно не спасает. Для них IP не нужен, они могут легко его узнать потом┘
      2) Общедоступных анонимных прокси в интернете конечно множество. Но ведь Вы ничего не знаете об их владельцах. В любом современном прокси сервере список клиентов легко задаётся ещё на этапе инсталляции. Поэтому общедоступным сервер делается, как правило, специально. Зачем. У кого-то есть лишние ресурсы? Скроетесь Вы или нет ещё неизвестно ( от спецслужб это точно не спасёт) а вот пароли и настройки свои точно засветите какому-то неизвестному. Косвенным подтверждением такой точки зрения, является то, что очень трудно найти прокси поддерживающий защищённые от прослушивания соединения (SSL,TSL), а ведь в новых версиях такая возможность обычно включена по умолчанию, но её зачем-то отключают? Странно, да? ;(
      3) Можно использовать сервер, предоставляемый Вашим провайдером, но он редко бывает анонимным, да и нетрудно просканировать все адреса его клиентов благо их обычно немного.
      4) Если у Вас включён Java, ActiveX или что-нибудь типа RealPlayer √ использование промежуточных серверов √ напрасная трата времени √ эти приложения могут обратиться напрямую.

Рецепт для браузера от Микросфт (на примере версии 5,0 и выше) : Настройки для прогулок в Интернет.

      Внимание √ у браузера MSIE имеется крайне неприятная особенность √ какие бы ограничения по безопасности Вы ни установили, для файлов, размещённых на Вашем диске они действовать не будут! Как это убрать я не нашёл! Будьте осторожны, просматривая загруженные на диск страницы, а лучше вообще не делайте этого.
      Запустите программу, последовательно откройте пункты меню "Сервис" (В IE4.x -"Вид"), "Свойства обозревателя". переключитесь на закладку безопасность, выберите зону "Интернет"
Рисунок: Настройка зон безопасности для IE
      В рамке "Уровень безопасности " щелкните по кнопке "Другой", откроется окно "Правила безопасности/Настройка". Установите приведённые ниже настройки.
Правила безопасности/Настройка
      Для уменьшения объёма текста приведены только названия разделов/подразделов (  > ) и рекомендуемые к установке режимы (    *). /* В фигурных скобках ( /* ┘ */ ) приведены комментарии */ . (В младших версиях IE (3.x, 4.x)) может встретиться другой порядок следования параметров и незначительно отличаться наименования).

Java /* подробнее об этой возможности написано выше */
  > Разрешения Java
    * Отключить язык Java

Загрузка
  > Загрузка файла
    * Разрешить
/* Будьте осторожны с этой возможностью и внимательно смотрите, что Вы загружаете, не забывайте проверять загруженный файл антивирусом. Если на компъютере роаботают дети или неквалифицорованные родственники- лучше держите отключённым, и ненадолго включайте когда возникнет необходимость. Ведь такая необходимость встречается нечасто. */
  > Загрузка шрифта
    * Отключить /* Необходимости в загрузке шрифта у меня не возникало ни разу. Потенциально же это возможность может быть опасной */

Проверка подлинности пользователя
  > Вход
    * Запрос имени пользователя и пароля

Разное
  > Доступ к источникам данных за пределами домена
    * Отключить /* Возможна кража значений из форм или отсылка ложных форм */
  > Запуск програм и файлов в окне IFRAME
    * Отключить /* Эта возможность была и будет причиной многих дырок */
  > Передача незашифрованных форм
    * Разрешить /* Увы, формы пока мало кто шифрует */
  > Перетаскивание или копирование и вставка файлов
    * Отключить
  > Переход между кадрами ч/з разные домены
    * Отключить /* Эта возможность была и будет причиной многих дырок */
  > Разрешения канала програмного обеспечения
    * Высокая безопасность /* Каналами сейчас мало кто пользуется и правильно */
  > Установка элементов рабочего стола
    * Отключить
  > Устойчивость данных пользователя
    * Отключить /* Как я понял, при возврате к форме кнопкой "Назад" в ней будут cохранены внесённые данные. И любой, подошедший после Вас может этим воспользоваться. Дома можно бы и оставить, но зачем? */

Сценарии /* подробности выше */
  > Активные сценарии
    * Разрешить
/* Если Вас заваливает открывающимися окнами с рекламой и в IE ниже 5.0 возможность лучше отключить. */
  > Выполнять сценарии приложений Java
    * Отключить
  > Разрешить операции вставки из сценария
    * Отключить

Файл Cookie /* подробности выше. Внимание в IE 4 эти настройки находятся в закладке "Дополнительно" */
  > Разрешить использование во время сеансов файлов Cookie из сети
    * Разрешить
  > Разрешить использование файлов Cookie, которые хранятся на Вашем компьютере.
    * Разрешить

Элементы ActiveX /* Крайне опасная возможность (см. выше)- отключите все пункты раздела */
  > Выполнять сценарии элементов ActiveX, помеченных как безопасные
    * Отключить /* "помеченных как безопасные" √ дикая шутка от Микрософт! */
  > Загрузка неподписанных элементов ActiveX
    * Отключить
  > Запуск элементов ActiveX и модулей подключения
    * Отключить
  > Использование элементов ActiveX, не помеченных, как безопасные.
    * Отключить

      Теперь осталось щёлкнуть по кнопке ОК и перейти в Зону "Ограниченные Узлы."
     Эти настройки пригодятся Вам при работе с e-mail.
      В рамке "Уровень безопасности " щелкните по кнопке "Другой", откроется окно "Правила безопасности/Настройка". Установите приведённые ниже настройки.
Правила безопасности/Настройка
      Для уменьшения объёма текста приведены только названия разделов/подразделов (  > ) и рекомендуемые к установке режимы (    *). /* В фигурных скобках ( /* ┘ */ ) приведены комментарии */

Java /* подробнее об этой возможности написано выше */
  > Разрешения Java
    * Отключить язык Java

Загрузка
  > Загрузка файла
    * Разрешить
/* Будьте осторожны с этой возможностью и внимательно смотрите, что Вы загружаете, не забывайте проверять загруженный файл антивирусом. Если на компъютере роаботают дети или неквалифицорованные родственники- лучше держите отключённым, и ненадолго включайте когда возникнет необходимость. Ведь такая необзходимость встречается нечасто. */
  > Загрузка шрифта
    * Отключить /* Необходимости в загрузке шрифта у меня не возникало ни разу. Потенциально же это возможность может быть опасной */

Проверка подлинности пользователя
  > Вход
    * Запрос имени пользователя и пароля

Разное
  > Доступ к источникам данных за пределами домена
    * Отключить /* Возможна кража значений из форм или отсылка ложных форм */
  > Запуск програм и файлов в окне IFRAME
    * Отключить /* Эта возможность была и будет причиной многих дырок */
  > Передача незашифрованных форм
    * Разрешить /* Увы, формы пока мало кто шифрует */
  > Перетаскивание или копирование и вставка файлов
    * Отключить
  > Переход между кадрами ч/з разные домены
    * Отключить /* Эта возможность была и будет причиной многих дырок */
  > Разрешения канала програмного обеспечения
    * Высокая безопасность /* Каналами сейчас мало кто пользуется и правильно */
  > Установка элементов рабочего стола
    * Отключить
  > Устойчивость данных пользователя
    * Отключить /* Как я понял, при возврате к форме кнопкой "Назад" в ней будут cохранены внесённые данные. И любой, подошедший после Вас может этим воспользоваться. Дома можно бы и оставить, но зачем? */

Сценарии /* подробности выше */
  > Активные сценарии
    * Отключить
  > Выполнять сценарии приложений Java
    * Отключить
  > Разрешить операции вставки из сценария
    * Отключить

Файл Cookie /* подробности выше. Внимание в IE 4 эти настройки находятся в закладке "Дополнительно" */
  > Разрешить использование во время сеансов файлов Cookie из сети
    * Отключить
  > Разрешить использование файлов Cookie, которые хранятся на Вашем компьютере.
    * Отключить

Элементы ActiveX /* Крайне опасная возможность (см. выше)- отключите все пункты раздела */
  > Выполнять сценарии элементов ActiveX, помеченных как безопасные
    * Отключить /* "помеченных как безопасные" √ дикая шутка от Микрософт! */
  > Загрузка неподписанных элементов ActiveX
    * Отключить
  > Запуск элементов ActiveX и модулей подключения
    * Отключить
  > Использование элементов ActiveX, не помеченных, как безопасные.
    * Отключить

      Теперь осталось щёлкнуть по кнопке ОК и перейти к другой закладке. Внимание: если какието из узлов потребуют от Вас дополнительных возможностей - создайте для них отдельные правила в зонах "Надёжные узлы" или "Местная Интросеть".

Закладка "Дополнительно"
      Установите значения некоторых полей как предложено ниже. Остальные может оставить неизменными. Убедитесь что отключены (или отключите самостоятельно) следующие поля :
      Задействовать профиль
      Использовать встроенное авто заполнение в проводнике
      Включить установку по запросу

      Убедитесь, что следующие поля включены (или сделайте это сами)
Безопасность
    * Предупреждать о недействительных сертификатах узлов
    * Предупреждать о переключении режима безопасности
    * Предупреждать при переадресации передаваемых форм
    * Проверять об аннулировании сертификатов серверов
    * Проверять об аннулировании сертификатов издателей


Необязательные советы.
      Относительно следующих полей Вы можете сами решить √нужны Вам или нет.
      Разрешить счётчик попаданий на страницы позволяет серверу определить частоту его посещений Вами. В принципе сервер может сделать то же с помощью cookie. Сами решайте нравится Вам это или нет. Я √ отключил, чтобы не создавать бесполезных, но потенциально уязвимых элементов.
      Показывать уведомление о каждой ошибке Сценария позволит Вам сделать вывод о качестве просматриваемой странице. Большое число ошибок или запрещённых действий может свидетельствовать о попытки сканирования Вашего браузера на предмет дырок. Впрочем ошибки встречаются часто, и извещения могут начать раздражать.
      Воспроизводить анимацию √ Забавно в первый раз, потом раздражает затратами на загрузку. Может ограничиться картинками?
      Воспроизводить видео √ вообще-то при модемном соединении удовольствие сомнительное и тормозит страшно. В проигрывателе неоднократно находили ошибки┘ Если вы собираетесь включить Java (ActiveX), то эту возможность лучше вообще отрубить.
      Воспроизводить звуки √ звуковой фон конечно вещь приятная/забавная, но если Вы работаете ночью, когда близкие уже спят, или на работе при заходе на новый сайт ждать неприятные сюрпризы ┘ Опять же тратится время на загрузку.
      Показывать картинки √ что ж, большинство сайтов, без них вообще не разобрать, но если Ваш "круг знакомств" невелик, то карты страниц можно и запомнить, а без картинок работа идёт намного быстрее. Если же вы нередко посещаете новые сайты, каждый раз вкючать/отключать надоедает. Жаль, что эта возможность так далеко запрятана. В Oper'e графику можно включать/отключать нажатием единственной клавиши и это очень удобно. В Netscape тоже ходить недалеко.

Рецепт для браузера от Netscape ( на примере 4,7) : Настройки для прогулок в Интернет.

      Настройка NN (NM), гораздо более проста, чем его собрата от MS. Последовательно выберите пункты меню Edit и Preferences. Щёлкните по категории Advanced ( не раскрывая её). Установите настройки как показано на рисунке
Рецепт для браузера от Netscape:
      Раскройте категорию Advanced. Выберите подкатегорию SmartUpdate. Установите настройки как показано на рисунке
SmartUpdate
Нажмите Ok. Это всё!
   На случай, если Вам потребуется поддержка Java, установите последний релиз NC 4.76. Найдите каталог на диске, где он установлен, обычно это "C:\Program Files\Netscape\Communicator\" . Зайдите в подкаталог "Program" найдите в нём папку NetHelp и удалите (или перенесите её), т.к. она содержит дырявые скрипты, так и оставшиеся неизвестными компании и зарубежным пользователям ( статья с описанием дырок ).

Рецепт для браузера Opera( на примере 5,02) расположен в отдельном документе

Параноидальные настройки (В стадии разработки).
      Для начала, внимательно ознакомьтесь с предыдущими разделами этой статьи. Цель этих настроек - обеспечить повышенную защиту от атак типа 2 даже ценой неудобств. Достигается это в основном путём обмана потенциального взломщика, за счёт выдачи программами ложной информации о себе и операционный системе. Эта настройка предполагает, установку персонального межсетевого фильтра (он же firewall) , запрет всех клиентских програм (включая Активные Сценарии и Javascript ) любого браузера, и подмену идентификатора браузера с помощью @Guard или JunkBusters ( версия с моими готовыми настроками). Пример настроек для AtGuard приведён на рисунке.
@Guard.
      Настройки для браузера MS, Вы можете взять из предыдущей главы использовав для зоны "Интернет" вариант, предложенный зоне "Ограниченные сервера", а рекомендованные настройки "Зоны Интернет" - для "Зоны Надежных серверов", явно указав кнопкой "Узлы" сервера которым Вы доверяете.
      В браузере Netscape в категории Advanced надо дополнительно отключить опцию Enable Javascript. Можно также отключить Cookies, теоретически, по работе с ними определяется тип браузера.
      Желательно также использование прокси-сервера c поддержкой SSL. Недопустимо использование программ типа mIRC, ICQ. Требуется специальная настройка для почтового агента.

    Спасибо за внимание
              Искренне Ваш    A.V. Komlin